د داخلي شبکې امنیت څارلو لپاره د یوې وسیلې په توګه د جریان پروتوکولونه

کله چې د داخلي کارپوریټ یا ډیپارټمنټ شبکې امنیت څارنې خبره راځي، ډیری یې دا د معلوماتو لیک کنټرول او د DLP حلونو پلي کولو سره تړاو لري. او که تاسو د پوښتنې روښانه کولو هڅه وکړئ او پوښتنه وکړئ چې تاسو څنګه په داخلي شبکه کې بریدونه کشف کوئ، نو ځواب به د یوې قاعدې په توګه، د مداخلې کشف سیسټمونو (IDS) یادونه وي. او هغه څه چې 10-20 کاله دمخه یوازینۍ لاره وه نن ورځ په انکرونیزم بدلیږي. یو ډیر اغیزمن، او په ځینو ځایونو کې، د داخلي شبکې د څارنې لپاره یوازینۍ ممکنه انتخاب دی - د جریان پروتوکولونو کارول، کوم چې په اصل کې د شبکې ستونزو (ستونزو حل کولو) لټون لپاره ډیزاین شوي، مګر د وخت په تیریدو سره په خورا زړه پورې امنیتي وسیلې بدل شوي. موږ به د دې په اړه وغږیږو چې کوم فلو پروتوکولونه شتون لري او کوم یو د شبکې بریدونو په موندلو کې غوره دي ، چیرې چې د جریان نظارت پلي کول غوره دي ، د داسې سکیم پلي کولو پرمهال څه باید په پام کې ونیول شي ، او حتی په کورنیو تجهیزاتو کې دا ټول "اوچت" کولو څرنګوالی. د دې مقالې په چوکاټ کې.

زه به په دې پوښتنې کې پاتې نه شم چې "ولې د داخلي زیربناوو امنیت څارنې ته اړتیا ده؟" ځواب روښانه ښکاري. مګر که بیا هم، تاسو غواړئ یو ځل بیا ډاډ ترلاسه کړئ چې نن ورځ تاسو پرته له دې ژوند نشئ کولی، یو نظر واخله د دې په اړه یوه لنډه ویډیو چې تاسو څنګه کولی شئ په 17 لارو کې د فایر وال لخوا خوندي شوي کارپوریټ شبکې ته ننوځي. له همدې امله، موږ به فرض کړو چې موږ پوهیږو چې داخلي څارنه یو اړین شی دی او ټول هغه څه چې پاتې دي د دې پوهیدل دي چې دا څنګه تنظیم کیدی شي.

زه به د شبکې په کچه د زیربنا د څارنې لپاره د معلوماتو درې کلیدي سرچینې روښانه کړم:

• "خام" ټرافیک چې موږ یې اخلو او ځینې تحلیلي سیسټمونو ته د تحلیل لپاره وړاندې کوو،
• د شبکې وسیلو څخه پیښې چې ترافیک تیریږي ،
• د ټرافیک معلومات د جریان پروتوکولونو څخه یو له لارې ترلاسه شوي.

د خام ترافیک نیول د امنیتي متخصصینو تر مینځ خورا مشهور انتخاب دی ، ځکه چې دا په تاریخي ډول څرګند شوی او خورا لومړی و. د دودیز شبکې د ننوتلو کشف سیسټمونه (د سوداګریزې مداخلې کشف کولو لومړی سیسټم د ویل ګروپ څخه NetRanger و چې په 1998 کې د سیسکو لخوا پیرود شوی و) په دقیق ډول د پاکټونو په نیولو کې بوخت وو (او وروسته ناستې) په کوم کې چې ځینې لاسلیکونه لیدل شوي ("پریکنده قواعد" د FSTEC اصطلاحات)، د بریدونو نښه کول. البته، تاسو کولی شئ خام ټرافيک نه یوازې د IDS په کارولو سره تحلیل کړئ، بلکې د نورو وسیلو په کارولو سره (د مثال په توګه، Wireshark، tcpdum یا NBAR2 فعالیت په سیسکو IOS کې)، مګر دوی معمولا د پوهې اساس نلري چې د معلوماتو امنیت وسیله د منظم څخه توپیر کوي. د معلوماتي ټکنالوجۍ وسیله.

نو، د برید کشف سیسټمونه. د شبکې بریدونو موندلو لپاره ترټولو زوړ او خورا مشهور میتود، کوم چې په محیط کې ښه دنده ترسره کوي (هیڅ اهمیت نلري - کارپوریټ، ډاټا مرکز، برخه، او نور)، مګر په عصري سویچ شوي او سافټویر تعریف شوي شبکې کې ناکامیږي. د یوې شبکې په حالت کې چې د دودیز سویچونو پراساس رامینځته شوی ، د برید کشف سینسر زیربنا خورا لوی کیږي - تاسو باید د هر نوډ سره د ارتباط لپاره سینسر نصب کړئ چیرې چې تاسو غواړئ بریدونه وڅارئ. البته، هر جوړونکی به خوشحاله وي چې تاسو په سلګونو او زرګونو سینسرونه وپلورئ، مګر زه فکر کوم چې ستاسو بودیجه د داسې لګښتونو ملاتړ نشي کولی. زه کولی شم ووایم چې حتی په سیسکو کې (او موږ د NGIPS پراختیا کونکي یو) موږ دا نشو کولی ، که څه هم داسې بریښي چې د نرخ مسله زموږ په وړاندې ده. زه باید ولاړ نه شم - دا زموږ خپله پریکړه ده. برسېره پردې، پوښتنه راپورته کیږي، څنګه په دې نسخه کې سینسر وصل کړئ؟ تشې ته؟ څه که سینسر پخپله ناکام شي؟ په سینسر کې د بای پاس ماډل ته اړتیا لرئ؟ سپلیټرونه (نل) وکاروئ؟ دا ټول حل خورا ګران کوي ​​او دا د هرې اندازې شرکت لپاره د منلو وړ ندي.

تاسو کولی شئ هڅه وکړئ سینسر په SPAN/RSPAN/ERSPAN بندر کې "ځړول" کړئ او د اړتیا وړ سویچ بندرونو څخه مستقیم ترافیک ورته واستوئ. دا اختیار په یوه برخه کې هغه ستونزه لرې کوي چې په تیرو پراګراف کې تشریح شوي، مګر یو بل یې وړاندې کوي - د اسپان پورټ نشي کولی په بشپړ ډول ټول ټرافیک ومني چې ورته لیږل کیږي - دا به کافي بینډ ویت نلري. تاسو باید یو څه قرباني کړئ. یا هم ځینې نوډونه پرته له څارنې پریږدئ (بیا تاسو اړتیا لرئ لومړی دوی ته لومړیتوب ورکړئ)، یا د نوډ څخه ټول ټرافیک نه لیږئ، مګر یوازې یو ځانګړی ډول. په هر حالت کې، موږ ممکن ځینې بریدونه له لاسه ورکړو. سربیره پردې، د اسپان بندر د نورو اړتیاو لپاره کارول کیدی شي. د پایلې په توګه، موږ باید د موجوده شبکې ټوپولوژي بیاکتنه وکړو او په احتمالي توګه دې ته سمون ورکړو ترڅو ستاسو شبکه د سینسرونو شمیر سره اعظمي حد ته پوښ ​​​​کړو (او دا د IT سره همغږي کړئ).

څه که ستاسو شبکه غیر متناسب لارې کاروي؟ څه که تاسو پلي کړي یا د SDN پلي کولو پلان لرئ؟ څه که تاسو د مجازی ماشینونو یا کانټینرونو نظارت کولو ته اړتیا لرئ چې ترافیک په هیڅ ډول فزیکي سویچ ته نه رسیږي؟ دا هغه پوښتنې دي چې دودیز IDS پلورونکي یې نه خوښوي ځکه چې دوی نه پوهیږي چې څنګه یې ځواب کړي. شاید دوی به تاسو قانع کړي چې دا ټول فیشني ټیکنالوژي هایپ دي او تاسو ورته اړتیا نلرئ. شاید دوی به د کوچني پیل کولو اړتیا په اړه خبرې وکړي. یا شاید دوی به ووایی چې تاسو اړتیا لرئ د شبکې په مرکز کې یو پیاوړی تریشر واچوئ او د بیلانس په کارولو سره ټول ټرافیک دې ته واستوئ. هر هغه اختیار چې تاسو ته وړاندیز کیږي، تاسو اړتیا لرئ په روښانه توګه پوه شئ چې دا ستاسو سره څنګه مناسب دی. او یوازې له هغې وروسته د شبکې زیربنا د معلوماتو امنیت څارنې لپاره د یوې تګلارې غوره کولو پریکړه وکړئ. د پاکټ نيولو ته راګرځم، زه غواړم ووايم چې دا ميتود خورا مشهور او مهم دی، مګر اصلي موخه يې د سرحد کنټرول دی. ستاسو د سازمان او انټرنیټ ترمنځ سرحدونه، د معلوماتو مرکز او پاتې شبکې ترمنځ سرحدونه، د پروسې کنټرول سیسټم او کارپوریټ برخې ترمنځ سرحدونه. په دې ځایونو کې، کلاسیک IDS/IPS لاهم حق لري چې شتون ولري او د دوی دندو سره ښه مقابله وکړي.

راځئ چې دویم اختیار ته لاړ شو. د شبکې وسیلو څخه د پیښو تحلیل هم د برید کشف اهدافو لپاره کارول کیدی شي ، مګر د اصلي میکانیزم په توګه نه ، ځکه چې دا اجازه ورکوي یوازې د مداخلې کوچنۍ طبقې کشف کړي. برسېره پردې، دا په یو څه غبرګون کې شتون لري - برید باید لومړی واقع شي، بیا باید د شبکې وسیله ثبت شي، کوم چې په یو ډول یا بل ډول به د معلوماتو امنیت سره ستونزه نښه کړي. داسې څو لارې شتون لري. دا کیدای شي syslog، RMON یا SNMP وي. د معلوماتو امنیت په شرایطو کې د شبکې څارنې لپاره وروستي دوه پروتوکولونه یوازې هغه وخت کارول کیږي کله چې موږ پخپله د شبکې تجهیزاتو باندې د DoS برید کشف کولو ته اړتیا لرو ، ځکه چې د RMON او SNMP کارول ممکن دي ، د مثال په توګه ، د وسیلې په مرکزي برخه کې د بار څارنه پروسیسر یا د هغې انٹرفیس. دا یو له "ارزانه" څخه دی (هرڅوک syslog یا SNMP لري)، مګر د داخلي زیربناوو د معلوماتو د امنیت د څارنې د ټولو میتودونو څخه خورا اغیزمن هم دی - ډیری بریدونه په ساده ډول له دې څخه پټ دي. البته، دوی باید له پامه ونه غورځول شي، او د ورته سیسلوګ تحلیل تاسو سره په وخت سره د وسیلې په ترتیب کې بدلونونو پیژندلو کې مرسته کوي، د هغې موافقت، مګر دا په ټوله شبکه کې د بریدونو کشف کولو لپاره خورا مناسب ندي.

دریم اختیار د یوې وسیلې له لارې د ترافیک تیریدو په اړه معلومات تحلیل کول دي چې د ډیری جریان پروتوکولونو څخه یو ملاتړ کوي. په دې حالت کې، د پروتوکول په پام کې نیولو پرته، د تار کولو زیربنا اړینه ده چې درې برخې ولري:

• د جریان تولید یا صادرول. دا رول معمولا یو روټر، سویچ یا د شبکې نورو وسایلو ته ګمارل کیږي، کوم چې د خپل ځان له لارې د شبکې ټرافيک تیرولو سره تاسو ته اجازه درکوي چې له هغې څخه کلیدي پیرامیټونه استخراج کړئ، کوم چې بیا د راټولولو ماډل ته لیږدول کیږي. د مثال په توګه، سیسکو د نیټ فلو پروتوکول ملاتړ کوي نه یوازې په روټرونو او سویچونو کې، په شمول د مجازی او صنعتي توکو په شمول، بلکې د بېسیم کنټرولرونو، فایر والونو او حتی سرورونو کې هم.
• د راټولولو جریان. د دې په پام کې نیولو سره چې عصري شبکه معمولا له یو څخه ډیر شبکې وسایل لري، د جریانونو راټولولو او یوځای کولو ستونزه رامینځته کیږي، کوم چې د نامتو راټولونکو په کارولو سره حل کیږي، کوم چې ترلاسه شوي جریان پروسس کوي او بیا یې د تحلیل لپاره لیږدوي.
• د جریان تحلیل شنونکی اصلي فکري دنده په غاړه اخلي او په جریانونو کې د مختلف الګوریتمونو پلي کول ، ځینې پایلې راوباسي. د مثال په توګه، د IT فعالیت د یوې برخې په توګه، دا ډول تحلیل کوونکی کولی شي د شبکې خنډونه وپیژني یا د شبکې نور اصلاح کولو لپاره د ټرافیک بار پروفایل تحلیل کړي. او د معلوماتو امنیت لپاره، دا ډول تحلیل کوونکی کولی شي د معلوماتو لیک، د ناوړه کوډ خپریدل یا د DoS بریدونو کشف کړي.

فکر مه کوئ چې دا درې درجې جوړښت خورا پیچلی دی - نور ټول اختیارونه (پرته له دې چې د شبکې نظارت سیسټمونه چې د SNMP او RMON سره کار کوي) هم د دې مطابق کار کوي. موږ د تحلیل لپاره د ډیټا جنراتور لرو، کوم چې کیدای شي د شبکې وسیله یا یو واحد سینسر وي. موږ د ټول څارنې زیربنا لپاره د الارم راټولولو سیسټم او د مدیریت سیسټم لرو. وروستي دوه برخې په یو واحد نوډ کې یوځای کیدی شي، مګر په ډیرو یا لږو لویو شبکو کې دوی معمولا لږترلږه دوه وسیلو کې خپریږي ترڅو د توزیع او اعتبار ډاډ ترلاسه کړي.

د پاکټ تحلیل برعکس، کوم چې د هر پاکټ سرلیک او د بدن ډیټا مطالعې پراساس دی او هغه ناستې چې پکې شاملې دي، د جریان تحلیل د شبکې ترافیک په اړه د میټاډاټا راټولولو باندې تکیه کوي. کله، څومره، له کومه ځایه او له کومه ځایه، څنګه... دا هغه پوښتنې دي چې د شبکې د ټیلی میټري تحلیل د مختلف جریان پروتوکولونو په کارولو سره ځواب شوي. په پیل کې، دوی د احصایو تحلیل کولو او په شبکه کې د معلوماتي ټکنالوجۍ ستونزې موندلو لپاره کارول کیده، مګر بیا، لکه څنګه چې تحلیلي میکانیزمونه رامینځته شوي، دا ممکنه شوه چې د امنیتي موخو لپاره ورته ټیلی میټري کې پلي شي. دا بیا د یادولو وړ ده چې د جریان تحلیل د پاکټ نیول بدل یا بدل نه کوي. د دې میتودونو هر یو د غوښتنلیک ساحه لري. مګر د دې مقالې په شرایطو کې، دا د جریان تحلیل دی چې د داخلي زیربناوو د څارنې لپاره خورا مناسب دی. تاسو د شبکې وسایل لرئ (ایا دوی د سافټویر تعریف شوي تمثیل کې کار کوي یا د جامد قواعدو سره سم) چې برید نشي کولی تیر شي. دا کولی شي د کلاسیک IDS سینسر څخه تیر شي، مګر د شبکې وسیله چې د جریان پروتوکول ملاتړ کوي نشي کولی. دا د دې میتود ګټه ده.

له بلې خوا، که تاسو د قانون پلي کونکي یا ستاسو د پیښې تحقیقاتي ټیم لپاره شواهدو ته اړتیا لرئ، تاسو د پاکټ نیول پرته نشي کولی - د شبکې ټیلی میټری د ټرافیک یوه کاپي نه ده چې د شواهدو راټولولو لپاره کارول کیدی شي؛ دا د معلوماتو امنیت په ساحه کې د ګړندي کشف او پریکړې کولو لپاره اړین دی. له بلې خوا، د ټیلی میټري تحلیلونو په کارولو سره، تاسو کولی شئ د شبکې ټول ټرافیک نه "ولیکئ" (که څه هم وي، سیسکو د ډیټا مرکزونو سره معامله کوي :-)، مګر یوازې هغه څه چې په برید کې ښکیل دي. په دې اړه د ټیلی میټري تحلیلي وسیلې به د دودیز پیکټ نیول میکانیزمونه په ښه توګه بشپړ کړي، د انتخابي نیولو او ذخیره کولو امرونه ورکوي. که نه نو، تاسو باید د ذخیره کولو لوی زیربنا ولرئ.

راځئ یوه شبکه تصور کړو چې د 250 Mbit/sec په سرعت سره کار کوي. که تاسو غواړئ دا ټول حجم ذخیره کړئ، نو تاسو به د ټرافیک لیږد د یوې ثانیې لپاره 31 MB ذخیره کولو ته اړتیا ولرئ، 1,8 GB د یوې دقیقې لپاره، 108 GB د یو ساعت لپاره، او 2,6 TB د یوې ورځې لپاره. د 10 Gbit/s بنډ ویت سره د شبکې څخه د ورځني ډیټا ذخیره کولو لپاره ، تاسو به 108 TB ذخیره کولو ته اړتیا ولرئ. مګر ځینې تنظیم کونکي د کلونو لپاره د امنیت ډیټا ذخیره کولو ته اړتیا لري ... د غوښتنې پراساس ثبت کول ، کوم چې د جریان تحلیل تاسو سره پلي کولو کې مرسته کوي ، د اندازې امرونو سره د دې ارزښتونو کمولو کې مرسته کوي. په هرصورت، که موږ د ثبت شوي شبکې ټیلی میټري ډیټا حجم او بشپړ ډیټا نیول تناسب په اړه وغږیږو ، نو دا نږدې 1 څخه تر 500 پورې دی. د ورته ارزښتونو لپاره چې پورته ورکړل شوي ، د ټولو ورځني ترافیک بشپړ لیږد ذخیره کول په ترتیب سره به 5 او 216 GB وي (تاسو کولی شئ دا په منظم فلش ډرایو کې ثبت کړئ).

که چیرې د خام شبکې ډیټا تحلیل کولو وسیلو لپاره ، د دې نیولو طریقه له پلورونکي څخه پلورونکي ته نږدې ورته وي ، نو د جریان تحلیل په حالت کې وضعیت توپیر لري. د جریان پروتوکولونو لپاره ډیری اختیارونه شتون لري، هغه توپیرونه چې تاسو یې اړتیا لرئ د امنیت په شرایطو کې پوه شئ. ترټولو مشهور د نیټ فلو پروتوکول دی چې د سیسکو لخوا رامینځته شوی. د دې پروتوکول ډیری نسخې شتون لري، د دوی په وړتیاوو او د ثبت شوي ترافیک معلوماتو مقدار کې توپیر لري. اوسنۍ نسخه نهم (Netflow v9) دی، چې پر بنسټ یې د صنعت معیاري Netflow v10، چې د IPFIX په نوم هم پیژندل شوی، رامینځته شوی. نن ورځ، د شبکې ډیری پلورونکي په خپلو تجهیزاتو کې د Netflow یا IPFIX ملاتړ کوي. مګر د فلو پروتوکولونو لپاره مختلف نور اختیارونه شتون لري - sFlow، jFlow، cFlow، rFlow، NetStream، او داسې نور، چې sFlow خورا مشهور دی. دا دا ډول دی چې ډیری وختونه د شبکې تجهیزاتو کورني تولید کونکو لخوا د پلي کولو اسانتیا له امله ملاتړ کیږي. د Netflow ترمنځ کلیدي توپیرونه کوم دي، کوم چې د حقیقت معیار بدل شوی، او sFlow؟ زه به څو کلیدي په ګوته کړم. لومړی ، Netflow د کارونکي لخوا دودیز شوي ساحې لري لکه څنګه چې په sFlow کې د ثابت ساحو سره مخالف دي. او دوهم، او دا زموږ په قضیه کې خورا مهم شی دی، sFlow د نمونې ټیلی میټري راټولوي؛ د Netflow او IPFIX لپاره د نمونې نه اخیستل شوي برعکس. د دوی ترمنځ توپیر څه دی؟

تصور وکړئ چې تاسو پریکړه وکړه چې کتاب ولولئ "د امنیتي عملیاتو مرکز: ستاسو د SOC جوړول، عملیات، او ساتلزما د همکارانو څخه - ګاري مکینټیر، جوزف مونیټز او ندیم الفاردان (تاسو کولی شئ د کتاب یوه برخه له لینک څخه ډاونلوډ کړئ). تاسو خپل هدف ته د رسیدو لپاره درې اختیارونه لرئ - ټول کتاب ولولئ، د هغې له لارې سکیم وکړئ، په هر 10 یا 20 پاڼې کې ودریږئ، یا په بلاګ یا خدمت کې د کلیدي مفاهیمو بیا بیانولو هڅه وکړئ لکه SmartReading. نو، بې نمونه ټیلی میټری د شبکې ترافیک هره "پاڼه" لوستل کیږي، دا د هر پاکټ لپاره د میټاډاټا تحلیل کول دي. نمونه شوي ټیلی میټري د ټرافیک انتخابي مطالعه ده پدې هیله چې غوره شوي نمونې به هغه څه ولري چې تاسو ورته اړتیا لرئ. د چینل سرعت پورې اړه لري، نمونه شوي ټیلی میټري به په هر 64، 200، 500، 1000، 2000 یا حتی 10000 پیکټ کې د تحلیل لپاره لیږل کیږي.

د معلوماتو امنیت څارنې په شرایطو کې، دا پدې مانا ده چې نمونه شوي ټیلی میټری د DDoS بریدونو کشف کولو، سکین کولو، او ناوړه کوډ خپرولو لپاره مناسب دی، مګر کیدای شي اټومي یا څو پیکټ بریدونه له لاسه ورکړي چې د تحلیل لپاره لیږل شوي نمونې کې شامل ندي. بې نمونه ټیلی میټری دا ډول زیانونه نلري. له دې سره، د کشف شویو بریدونو لړۍ خورا پراخه ده. دلته د پیښو لنډ لیست دی چې د شبکې ټیلی میټري تحلیلي وسیلو په کارولو سره کشف کیدی شي.

البته ، ځینې خلاصې سرچینې Netflow تحلیل کونکی به تاسو ته اجازه ورنکړي چې دا کار وکړي ، ځکه چې د دې اصلي دنده د ټیلی میټري راټولول او د IT له لید څخه پدې باندې لومړني تحلیل ترسره کول دي. د جریان پراساس د معلوماتو امنیت ګواښونو پیژندلو لپاره ، دا اړینه ده چې تحلیل کونکي د مختلف انجنونو او الګوریتمونو سره سمبال کړئ ، کوم چې به د معیاري یا دودیز Netflow ساحو پراساس د سایبر امنیت ستونزې وپیژني ، د مختلف ګواښ استخباراتو سرچینو څخه بهرني ډیټا سره معیاري ډیټا بډایه کړي ، او داسې نور.

له همدې امله ، که تاسو انتخاب لرئ ، نو Netflow یا IPFIX غوره کړئ. مګر حتی که ستاسو تجهیزات یوازې د کورني تولید کونکو په څیر د sFlow سره کار کوي ، نو حتی پدې حالت کې تاسو کولی شئ په امنیتي شرایطو کې ترې ګټه پورته کړئ.

د 2019 په دوبي کې ، ما هغه وړتیاوې تحلیل کړې چې د روسیې د شبکې هارډویر جوړونکي لري او ټول یې ، د NSG ، پولیګون او کرافټ ویز پرته ، د sFlow (لږترلږه زیلیکس ، ناټیکس ، ایلټیکس ، QTech ، Rusteleteh) لپاره ملاتړ اعلان کړ.

بله پوښتنه چې تاسو به ورسره مخ شئ دا د امنیت اهدافو لپاره د جریان ملاتړ چیرته پلي کول دي؟ په حقیقت کې، پوښتنه په بشپړه توګه سمه نه ده. عصري وسایل تقریبا تل د جریان پروتوکولونو ملاتړ کوي. له همدې امله، زه به دا پوښتنه په بل ډول اصلاح کړم - د امنیت له نظره د ټیلی میټری راټولول چیرته اغیزمن دي؟ ځواب به خورا څرګند وي - د لاسرسي په کچه ، چیرې چې تاسو به د ټولو ترافیک 100٪ وګورئ ، چیرې چې تاسو به د کوربه (MAC, VLAN, انٹرفیس ID) په اړه مفصل معلومات ولرئ ، چیرې چې تاسو حتی کولی شئ د کوربه ترمینځ د P2P ترافیک څارنه وکړئ ، کوم چې. د ناوړه کوډ کشف او توزیع سکین کولو لپاره خورا مهم دی. په اصلي کچه، تاسو ممکن په ساده ډول ځینې ټرافیک ونه ګورئ، مګر د حد په کچه، تاسو به د خپل ټول شبکې ټرافیک څلورمه برخه وګورئ. مګر که د کوم دلیل لپاره تاسو په خپل شبکه کې بهرني وسیلې لرئ چې برید کونکو ته اجازه درکوي پرته له احاطې څخه "ننوتو او وتلو" ته ، نو د دې څخه د ټیلی میټري تحلیل به تاسو ته هیڅ ونه کړي. له همدې امله، د اعظمي پوښښ لپاره، دا سپارښتنه کیږي چې د لاسرسي په کچه د ټیلی میټري راټولول فعال کړئ. په ورته وخت کې ، دا د یادونې وړ ده چې حتی که موږ د مجازی کولو یا کانټینرونو په اړه وغږیږو ، د جریان ملاتړ اکثرا په عصري مجازی سویچونو کې هم موندل کیږي ، کوم چې تاسو ته اجازه درکوي هلته هم ترافیک کنټرول کړئ.

مګر له هغه وخته چې ما موضوع راپورته کړه، زه اړتیا لرم چې دې پوښتنې ته ځواب ووایم: که چیرې تجهیزات، فزیکي یا مجازی، د جریان پروتوکولونو ملاتړ نه کوي؟ یا ایا د هغې شاملول منع دي (د مثال په توګه په صنعتي برخو کې د اعتبار ډاډ ترلاسه کولو لپاره)؟ یا ایا د دې بدلول د لوړ CPU بار لامل کیږي (دا په زاړه هارډویر کې پیښیږي)؟ د دې ستونزې د حل لپاره، ځانګړي مجازی سینسرونه (د فلو سینسرونه) شتون لري، کوم چې په اصل کې عادي سپلیټرونه دي چې د ځان له لارې ټرافيک تیریږي او د راټولولو ماډل ته د جریان په بڼه خپروي. ریښتیا ، پدې حالت کې موږ ټولې ستونزې ترلاسه کوو چې موږ یې د بسته بندۍ وسیلو په اړه پورته خبرې وکړې. دا دی ، تاسو اړتیا لرئ نه یوازې د جریان تحلیل ټیکنالوژۍ ګټې ، بلکه د دې محدودیتونه هم درک کړئ.

یو بل ټکی چې مهم دی په یاد ولرئ کله چې د جریان تحلیلي وسیلو په اړه خبرې وکړئ. که چیرې د امنیتي پیښو رامینځته کولو دودیزو وسیلو په اړه موږ د EPS میټریک (په هره ثانیه کې پیښه) کاروو، نو دا شاخص د ټیلی میټری تحلیل لپاره د تطبیق وړ ندی؛ دا د FPS (په هره ثانیه کې جریان) لخوا بدل شوی. لکه څنګه چې د EPS په قضیه کې ، دا دمخه محاسبه نشي کیدی ، مګر تاسو کولی شئ د تارونو نږدې شمیر اټکل کړئ چې یو ځانګړی وسیله د هغې دندې پورې اړه لري. تاسو کولی شئ په انټرنیټ کې د مختلف ډوله تصدۍ وسیلو او شرایطو لپاره نږدې ارزښتونو سره میزونه ومومئ ، کوم چې تاسو ته اجازه درکوي اټکل وکړئ چې تاسو د تحلیلي وسیلو لپاره کوم جوازونو ته اړتیا لرئ او د دوی جوړښت به څه وي؟ حقیقت دا دی چې د IDS سینسر د یو ځانګړي بینډ ویت لخوا محدود دی چې دا کولی شي "کش" کړي، او د جریان راټولونکی خپل محدودیتونه لري چې باید پوه شي. له همدې امله، په لوی، جغرافیایي توزیع شوي شبکو کې معمولا ډیری راټولونکي شتون لري. کله چې ما تشریح کړه شبکه څنګه د سیسکو دننه څارل کیږي، ما لا دمخه زموږ د راټولونکو شمیر ورکړی دی - له دوی څخه 21 شتون لري. او دا د یوې شبکې لپاره دی چې په پنځو براعظمونو کې ویشل شوي او شاوخوا نیم ملیون فعال وسایل لري).

موږ خپل حل د Netflow څارنې سیسټم په توګه کاروو د سیسکو سټیل واچ، چې په ځانګړې توګه د امنیتي ستونزو په حل تمرکز کوي. دا د نامناسب ، شکمن او څرګند ناوړه فعالیت کشف کولو لپاره ډیری جوړ شوي انجنونه لري ، کوم چې تاسو ته اجازه درکوي د مختلف ګواښونو پراخه لړۍ کشف کړئ - له کریپټومینینګ څخه د معلوماتو لیکو پورې ، د ناوړه کوډ له خپریدو څخه تر درغلیو پورې. د ډیری جریان تحلیل کونکو په څیر ، سټیل واچ د درې درجې سکیم (جنریټر - راټولونکی - تحلیل کونکی) سره سم جوړ شوی ، مګر دا د یو شمیر په زړه پورې ب featuresو سره ضمیمه شوی چې د پام وړ موادو په شرایطو کې مهم دي. لومړی، دا د بسته بندي کولو حلونو سره مدغم کیږي (لکه د سیسکو امنیت پاکټ شنونکي)، کوم چې تاسو ته اجازه درکوي د ژورې څیړنې او تحلیل لپاره د شبکې ټاکل شوي ناستې ثبت کړئ. دوهم ، په ځانګړي توګه د امنیت دندو پراخولو لپاره ، موږ یو ځانګړی nvzFlow پروتوکول رامینځته کړی ، کوم چې تاسو ته اجازه درکوي په پای نوډونو (سرورونو ، ورک سټیشنونو ، او نور) کې د غوښتنلیکونو فعالیت "خپاره" په ټیلی میټري کې او د نورو تحلیلونو لپاره راټولونکي ته یې لیږدئ. که چیرې په خپل اصلي نسخه کې سټیلټ واچ د شبکې په کچه د هر فلو پروتوکول (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) سره کار کوي ، نو د nvzFlow ملاتړ د نوډ په کچه هم د معلوماتو اړیکې ته اجازه ورکوي. د ټول سیسټم موثریت لوړول او د دودیز شبکې جریان تحلیل کونکو څخه ډیر بریدونه لیدل.

دا روښانه ده چې کله د امنیت له نظره د Netflow تحلیلي سیسټمونو په اړه وغږیږئ ، بازار د سیسکو څخه یو واحد حل پورې محدود ندی. تاسو کولی شئ دواړه سوداګریز او وړیا یا د شریکولو حلونه وکاروئ. دا خورا عجیب دی که زه د سیسکو بلاګ کې د مثالونو په توګه د سیالانو حلونه بیان کړم، نو زه به د دې په اړه یو څو ټکي ووایم چې څنګه د شبکې ټیلی میټري د دوه مشهور، په نوم کې ورته، مګر بیا هم مختلف وسیلې - SiLK او ELK په کارولو سره تحلیل کیدی شي.

SiLK د ټرافیک تحلیل لپاره د وسیلو مجموعه ده (د انټرنیټ کچې پوهې سیسټم) چې د امریکایی CERT/CC لخوا رامینځته شوی او د نن ورځې مقالې په شرایطو کې د Netflow (پنځم او نهم ، خورا مشهور نسخې) ملاتړ کوي ، IPFIX او sFlow او د شبکې په ټیلی میټری کې د مختلف عملیاتو ترسره کولو لپاره مختلف یوټیلټیز (rwfilter, rwcount, rwflowpack, etc.) کارول ترڅو پدې کې د غیر مجاز عملونو نښې کشف کړي. مګر د یادولو لپاره یو څو مهم ټکي شتون لري. SiLK د کمانډ لاین وسیله ده چې د دې ډول کمانډونو په داخلولو سره آنلاین تحلیل ترسره کوي (د 5 بایټ څخه لوی د ICMP پاکټونو کشف):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ډیر آرام نه دی. تاسو کولی شئ د iSiLK GUI وکاروئ ، مګر دا به ستاسو ژوند خورا اسانه نه کړي ، یوازې د لید فعالیت حل کول او د شنونکي ځای نه نیسي. او دا دوهم ټکی دی. د سوداګریزو حلونو برخلاف ، کوم چې دمخه یو قوي تحلیلي اساس لري ، د انومالي کشف الګوریتمونه ، ورته کاري فلو ، او داسې نور ، د SiLK په قضیه کې تاسو باید دا ټول پخپله ترسره کړئ ، کوم چې به تاسو ته د دمخه چمتو شوي کارولو په پرتله یو څه مختلف وړتیاو ته اړتیا ولري. د کارولو وسیلې. دا نه ښه دی او نه بد - دا د نږدې هرې وړیا وسیلې ځانګړتیا ده چې ګومان کوي ​​چې تاسو پوهیږئ چې څه وکړئ، او دا به یوازې تاسو سره پدې کې مرسته وکړي (تجارتي وسیلې د خپلو کاروونکو وړتیاو پورې اړه لري، که څه هم دوی هم فرض کوي. دا چې شنونکي لږترلږه د شبکې تحقیقاتو او څارنې اساسات پوهیږي). مګر راځئ چې بیرته سلک ته راشو. د دې سره د شنونکي کاري دوره داسې ښکاري:

• د فرضیې جوړول. موږ باید پوه شو چې موږ به د شبکې ټیلی میټري دننه څه په لټه کې یو، هغه ځانګړي ځانګړتیاوې وپیژنو چې له مخې به یې موږ ځینې ګډوډي یا ګواښونه وپیژنو.
• د ماډل جوړول. د فرضیې په جوړولو سره، موږ دا د ورته Python، شیل یا نورو وسیلو په کارولو سره پروګرام کوو چې په SiLK کې شامل ندي.
• ازموینه. دا وخت دی چې زموږ د فرضیې درستیت وڅیړئ، کوم چې د 'rw'، 'set'، 'bag' سره پیل شوي د SiLK اسانتیاوو په کارولو سره تایید یا رد شوی.
• د حقیقي معلوماتو تحلیل. په صنعتي عملیاتو کې، SiLK موږ سره د یو څه پیژندلو کې مرسته کوي او شنونکی باید پوښتنو ته ځواب ووایي "ایا موږ هغه څه وموندل چې موږ یې تمه درلوده؟"، "ایا دا زموږ د فرضیې سره سمون لري؟"، "څنګه د غلط مثبتو شمیر کم کړو؟"، "څنګه د پیژندنې کچې ښه کولو لپاره؟ » او همداسی پسی.
• ښه والی. په وروستي پړاو کې، موږ هغه څه ته وده ورکوو چې مخکې ترسره شوي وو - موږ ټیمپلیټونه جوړوو، کوډ اصلاح او اصلاح کوو، فرضیه اصلاح او روښانه کوو، او داسې نور.

دا دوره به د سیسکو سټیل واچ لپاره هم پلي شي، یوازې وروستی یو دا پنځه مرحلې اعظمي ته اتومات کوي، د تحلیلي غلطیو شمیر کموي او د پیښې کشف کولو موثریت زیاتوي. د مثال په توګه، په SiLK کې تاسو کولی شئ د لاس لیکل شوي سکریپټونو په کارولو سره په ناوړه IPs کې د بهرني معلوماتو سره د شبکې احصایې بډایه کړئ، او په سیسکو سټیلټ واچ کې دا یو جوړ شوی فعالیت دی چې سمدلاسه الارم ښکاره کوي که چیرې د شبکې ترافیک د تور لیست څخه د IP پتې سره تعامل ولري.

که تاسو د جریان تحلیل سافټویر لپاره "تادیه شوي" پیرامیډ کې لوړ یاست ، نو د بشپړ وړیا SiLK وروسته به د شریکولو ELK شتون ولري ، چې درې کلیدي برخې لري - Elasticsearch (انډیکس کول ، لټون کول او ډیټا تحلیل) ، Logstash (د ډیټا ان پټ/آؤټ پټ) ) او کبانا ( بصری کول). د SiLK برخلاف ، چیرې چې تاسو باید هرڅه پخپله ولیکئ ، ELK لا دمخه ډیری چمتو شوي کتابتونونه / ماډلونه لري (ځینې تادیه شوي ، ځینې ندي) چې د شبکې ټیلی میټري تحلیل اتومات کوي. د مثال په توګه، په Logstash کې د GeoIP فلټر تاسو ته اجازه درکوي چې څارل شوي IP پتې د دوی جغرافيائی موقعیت سره وصل کړئ (Stealthwatch دا جوړ شوی خصوصیت لري).

ELK هم په کافي اندازه لویه ټولنه لري چې د دې څارنې حل لپاره ورکې برخې بشپړوي. د مثال په توګه، د Netflow، IPFIX او sFlow سره کار کولو لپاره تاسو کولی شئ ماډل وکاروئ elastiflow، که تاسو د Logstash Netflow ماډل څخه راضي نه یاست، کوم چې یوازې د Netflow ملاتړ کوي.

پداسې حال کې چې د جریان راټولولو او پدې کې لټون کولو کې ډیر موثریت ورکوي ، ELK اوس مهال د شبکې ټیلی میټري کې د ګډوډي او ګواښونو موندلو لپاره بډایه جوړ شوي تحلیلونه نلري. دا دی، د پورته بیان شوي ژوند دوره تعقیب کړئ، تاسو باید په خپلواکه توګه د سرغړونې ماډلونه تشریح کړئ او بیا یې په جنګي سیسټم کې وکاروئ (هلته هیڅ جوړ شوي ماډل شتون نلري).

البته ، د ELK لپاره ډیر پیچلي توسیعونه شتون لري ، کوم چې دمخه د شبکې ټیلی میټري کې د ګډوډي موندلو لپاره ځینې ماډلونه لري ، مګر دا ډول تمدیدونه پیسې مصرفوي او دلته پوښتنه دا ده چې ایا لوبه د شمعې ارزښت لري - پخپله ورته ماډل ولیکئ ، وپیرئ. ستاسو د څارنې وسیلې لپاره پلي کول ، یا د شبکې ترافیک تحلیل ټولګي چمتو شوي حل وپیرئ.

په عموم کې ، زه نه غواړم پدې بحث کې راشم چې دا غوره ده چې پیسې مصرف کړئ او د شبکې ټیلی میټري کې د ګډوډي او ګواښونو نظارت لپاره چمتو حل وپیرئ (د مثال په توګه ، سیسکو سټیلټ واچ) یا دا پخپله ومومئ او ورته تنظیم کړئ. د هر نوي ګواښ لپاره SiLK، ELK یا nfdump یا OSU فلو وسیلې (زه د دوی وروستي دوه په اړه خبرې کوم وویل تیر وخت)؟ هرڅوک د ځان لپاره غوره کوي او هرڅوک د دوو انتخابونو څخه د انتخاب کولو لپاره خپل انګیزه لري. زه یوازې غواړم وښیم چې د شبکې ټیلی میټری ستاسو د داخلي زیربنا د شبکې امنیت ډاډمن کولو کې خورا مهم وسیله ده او تاسو باید دا غفلت ونکړئ، ترڅو د هغو شرکتونو لیست کې شامل نه شئ چې نوم یې په رسنیو کې د نومونو سره یاد شوی دی. هیک شوی"، "د معلوماتو د خوندیتوب اړتیاو سره نه مطابقت لري" "، "د دوی د معلوماتو او پیرودونکو معلوماتو امنیت په اړه فکر نه کوي."

د لنډیز لپاره، زه غواړم هغه کلیدي لارښوونې لیست کړم چې تاسو یې باید تعقیب کړئ کله چې ستاسو د داخلي زیربنا د معلوماتو امنیت نظارت جوړ کړئ:

1. یوازې خپل ځان محدود مه کوئ! د شبکې زیربنا (او غوره کول) وکاروئ نه یوازې د ټرافیک له نقطې A څخه B نقطې ته ، بلکه د سایبر امنیت مسلو ته د رسیدو لپاره هم.
2. ستاسو د شبکې تجهیزاتو کې د معلوماتو امنیت څارنې موجوده میکانیزمونه مطالعه کړئ او وکاروئ.
3. د داخلي څارنې لپاره، د ټیلی میټري تحلیل ته لومړیتوب ورکړئ - دا تاسو ته اجازه درکوي د شبکې معلوماتو امنیت پیښو 80-90٪ کشف کړئ، پداسې حال کې چې هغه څه ترسره کوي کله چې د شبکې کڅوړې نیول او د ټولو معلوماتو امنیتي پیښو ذخیره کولو لپاره ځای خوندي کول ناممکن دي.
4. د جریانونو څارلو لپاره، د Netflow v9 یا IPFIX وکاروئ - دوی په امنیتي شرایطو کې نور معلومات چمتو کوي او تاسو ته اجازه درکوي چې نه یوازې IPv4، بلکې IPv6، MPLS، او نور هم وڅاري.
5. د نمونې پرته جریان پروتوکول وکاروئ - دا د ګواښونو موندلو لپاره نور معلومات چمتو کوي. د مثال په توګه، Netflow یا IPFIX.
6. ستاسو د شبکې تجهیزاتو بار چیک کړئ - دا ممکن د جریان پروتوکول هم اداره کولو توان ونلري. بیا د مجازی سینسرونو یا د نیټ فلو تولید وسیله کارولو په اړه فکر وکړئ.
7. لومړی د لاسرسي په کچه کنټرول پلي کړئ - دا به تاسو ته فرصت درکړي چې د ټولو ترافیک 100٪ وګورئ.
8. که تاسو هیڅ انتخاب نلرئ او تاسو د روسیې شبکې تجهیزات کاروئ، نو یو غوره کړئ چې د فلو پروتوکولونو ملاتړ کوي یا د SPAN/RSPAN بندرونه لري.
9. په داخلي شبکه کې په څنډو کې د ننوتلو/برید کشف/مخنیوي سیسټمونه او د جریان تحلیل سیسټمونه یوځای کړئ (په شمول په ورېځو کې).

د وروستي ټکي په اړه، زه غواړم یو مثال وړاندې کړم چې ما مخکې وړاندې کړی دی. تاسو ګورئ چې که دمخه د سیسکو معلوماتو امنیت خدمت نږدې په بشپړ ډول د مداخلې کشف سیسټمونو او لاسلیک میتودونو پراساس د معلوماتو امنیت څارنې سیسټم رامینځته کړی ، اوس دوی یوازې 20٪ پیښې حسابوي. بل 20٪ د جریان تحلیل سیسټمونو باندې راځي، کوم چې دا وړاندیز کوي چې دا حلونه هیڅ شی نه دي، مګر د عصري تصدۍ د معلوماتو امنیت خدماتو فعالیتونو کې ریښتینې وسیله ده. سربیره پردې ، تاسو د دوی پلي کولو لپاره خورا مهم شی لرئ - د شبکې زیربنا ، پانګه اچونه چې شبکې ته د معلوماتو امنیت څارنې دندې په ټاکلو سره نور خوندي کیدی شي.

ما په ځانګړي ډول د شبکې جریانونو کې پیژندل شوي ګډوډي یا ګواښونو ته د ځواب ویلو موضوع ته تماس نه دی نیولی ، مګر زه فکر کوم چې دا دمخه روښانه ده چې نظارت باید یوازې د ګواښ په موندلو پای ته ونه رسیږي. دا باید د ځواب لخوا تعقیب شي او په غوره توګه په اتوماتیک یا اتوماتیک حالت کې. مګر دا د جلا مقالې لپاره موضوع ده.

اضافي معلومات:

• د سیسکو IOS نیټ فلو توضیحات
• په مختلف سیسکو حلونو کې د نیټ فلو ملاتړ میټریکس
• په مختلف سیسکو پلیټ فارمونو کې د نیټ فلو تنظیم کولو لارښود
• د sFlow ټولنه
• لابراتوار د Stealtjwatch، SiLK او ELK په کارولو سره د امنیت له نظره د نیټ فلو تحلیل کوي
• د سلک ویب پاڼه
• د ډیری مثالونو سره د سلک کارولو لپاره درې سوه مخ لارښود
• Logstash Netflow ماډل
• په ELK کې د نیټ فلو تحلیل لپاره د سیسکو ګام په ګام لارښود
• د Logstash (ELK) په کارولو سره د NetFlow v.9 Cisco ASA تحلیل
• د سیسکو سټیل واچ حل

پی ایس. که ستاسو لپاره دا اسانه وي چې هر هغه څه واورئ چې پورته لیکل شوي و، نو تاسو کولی شئ د ساعت اوږد پریزنټشن وګورئ چې د دې یادښت اساس جوړوي.

سرچینه: www.habr.com